Estás leyendo
Roaming Mantis infecta smartphones conectados a Wi-Fi públicas

Roaming Mantis infecta smartphones conectados a Wi-Fi públicas

  • Recientemente, los analistas de Kaspersky reportaron un nuevo sistema de manipulación de DNS en una campaña del virus Roaming Mantis. Ahora, los cibercriminales pueden comprometer los routers de aeropuertos, bares, hoteles y otros lugares públicos para infectar móviles Android con el malware Wroba.o. Por el momento, esta nueva técnica se ha utilizado en Corea del Sur, pero podría llegar pronto a otros países.
Hackers ciberataques ciberseguridad

Roaming Mantis (a.k.a Shaoye) es una  campaña cibercriminal detectada por Kaspersky en 2018 . Utiliza archivos de paquetes de Android (APK) infectados para controlar el dispositivo y robar información del mismo. También cuenta con una opción de phishing para equipos con iOS y capacidades de criptominería para PC. El nombre de la campaña se debe a su propagación a través de teléfonos conectados a redes Wi-Fi para transmitir y propagar la infección.

Nueva función para manipular el DNS y atacar a usuarios a través de routers públicos

Kaspersky descubrió que Roaming Mantis introdujo recientemente una nueva funcionalidad de manipulación del sistema de nombres de dominio (DNS) en Wroba.o (también conocido como Agent.eq, Moqhao, XLoader), el malware utilizado principalmente en la campaña. La manipulación del DNS se realiza con un programa malicioso que dirige el dispositivo conectado a un router Wi-Fi comprometido y a un servidor bajo el control de los ciberdelincuentes en lugar de a un servidor DNS legítimo. A través de una web falsa, se pide a la víctima que descargue un archivo que contiene malware, el cual controlará el dispositivo y robará credenciales.

Por el momento, la amenaza se dirige a routers localizados en Corea del Sur y desarrollados por una popular marca de este tipo de en el país. Para identificarlos, la funcionalidad de manipulación de DNS consigue la dirección IP y accede al modelo de router, cambiando la configuración del DNS. En diciembre de 2022, Kaspersky observó 508 descargas maliciosas de archivos APK en el país (tabla 1).

País

 

Número de APK maliciosas descargadas
Japón 24645
Austria 7354
Francia 7246
Alemania 5827
Korea del Sur 508
Turquía 381
Malasia 154
India 28

Tabla 1. Número de descargas de APK maliciosas por país según la investigación de páginas creadas dentro de la campaña Roaming Mantis, primera quincena de diciembre de 2022.

Una investigación de las páginas de Internet hacia las que se redirigía a las víctimas descubrió que los atacantes también actúan en otras regiones utilizando el smishing, en lugar de manipular el DNS. Esta técnica usa mensajes de texto fraudulentos para difundir enlaces maliciosos que llevan a la víctima a un sitio desde el que el usuario descarga archivos infectados o se le roba información mediante phishing. Japón encabeza la lista de descargas de archivos APK infectados desde las landing pages creadas por los cibercriminales, con casi 25.000. Austria y Francia siguen al país nipón, con 7.000 descargas cada uno. Alemania, Turquía, Malasia e India cierran la lista. Los analistas de Kaspersky creen que los ciberdelincuentes pronto podrían actualizar la función de cambio de DNS para vulnerar los routers Wi-Fi de esos países.

Te puede interesar
ciberseguridad

Según las estadísticas de Kaspersky Security Network (KSN), de septiembre a diciembre de 2022 el mayor ratio de detección del malware Wroba.o (o Trojan-Dropper.AndroidOS.Wroba.o) se detectó en Francia (54,4%), Japón (12,1% y Estados Unidos (10,1%).

Cuando un móvil infectado se conecta a routers supuestamente de confianza en diferentes lugares, como cafés, bares, librerías, hoteles, centros comerciales, aeropuertos e, incluso, hogares, el malware Wroba.o puede comprometer los routers e infectar también a otros dispositivos que estén conectados. La nueva funcionalidad que manipula el DNS puede controlar todas las comunicaciones de los dispositivos al comprometer el router Wi-Fi, redirigiendo a la víctima a sitios maliciosos y desactivando las actualizaciones de las aplicaciones de seguridad. Creemos que este descubrimiento es crítico para la seguridad de los dispositivos Android porque se puede expandir con mucha rapidez.Suguri Ishimaru, analista senior de seguridad de Kaspersky

Para proteger la conexión a internet de esta amenaza, los analistas de Kaspersky recomiendan:

  • Consulta el manual de usuario de router para verificar que la configuración del DNS no ha sido manipulada o contacta con tu proveedor de internet para recibir asistencia.
  • Cambia el nombre de usuario y contraseña que viene por defecto en el router y actualiza con regularidad el firmware del mismo desde fuentes oficiales.
  • Nunca instales un firmware de terceros en el router. No uses repositorios de terceros en dispositivos Android.
  • Verifica siempre la dirección y el sitio web del navegador para estar seguro de que es legítimo; comprueba que la dirección tenga la secuencia ‘https' si se pide la introducción de datos.
  • Instala una solución de seguridad para teléfonos móviles para proteger tu dispositivo de estas y otras amenazas.
Utilizamos cookies para facilitar la relación de los visitantes con nuestro contenido y para permitir elaborar estadísticas sobre las visitantes que recibimos. No se utilizan cookies con fines publicitarios ni se almacena información de tipo personal. Puede gestionar las cookies desde aquí.   
Privacidad